2018年の年始早々、なかなか厄介な話題が舞い込んできました。

複数のセキュリティ研究者が、Intel CPUに深刻な脆弱性「Meltdown」と「Spectre」が存在することを公表し、現在大騒動になっています。当初はIntelがやり玉に挙げられ、AMDユーザー大勝利か？という話題もありましたが、「Spectre」の脆弱性に関しては、IntelだけでなくAMDやARMなどのCPUにも影響があるようです。

そのため、Windowsユーザーのみでなく、各種クラウドサービスやAndroidユーザー、ARMベースのIoT機器など、様々な機器で対処が必要になる可能性があります。また、この問題は20年前から存在していたともいわれており、現在各社が対策に乗り出しているとの事。

とりあえず現時点の情報を簡単にまとめておきますが、皆さん今後の情報には注視しておきましょう。

CPUの深刻な脆弱性「Meltdown」と「Spectre」についての情報まとめサイト＆発表の経緯について

今回大きな騒動になっているCPUの脆弱性「Meltdown」と「Spectre」について、オーストラリアのグラーツ工科大学がまとめサイトを公開しています。ただし英語ページなのでご注意を。基本的にすべての情報がまとめられているので、英語が読める方はぜひご一読ください。

Meltdown and Spectre

spectreattack.com

「Meltdown（崩壊）」という名称は、この脆弱性が正常であればハードウェアによって守られるはずのセキュリティ境界を崩壊させることから命名され、「Spectre（幽霊）」は、speculative execution（投機的実行：コンピュータに必要としないかもしれない仕事をさせること）から由来しています。このうち、「Spectre」は修正が難しく、長く悩まされる可能性があることも示されています。

当初はIntel製CPUに存在する脆弱性と報じられていましたが、その後「Spectre」に関しては、AMDやARMなどのモダンCPU全般に存在する脆弱性であるとも報じられており、PCだけなく、スマートフォンやクラウドサービス、IoTなど、広範囲に影響する可能性が示唆されています。現時点では「Meltdown」はIntel製CPU特有の脆弱性といわれています。（by Gigazine）

これらが悪用されると、パスワードやメール、機密文書などのデータを盗まれる可能性がありますが、データを改ざんされたり削除されたりすることはないそうです。それでも十分危険ですよね。

なお、今回騒動になっている“投機的実行の脆弱性”は、昨年にGoogleのProject Zeroチームが発見してIntel、AMD、ARMなど関連する企業に報告しており、1月9日に情報を公表する予定でした。ところが、報道をきっかけに様々な情報や憶測が錯綜したため、同チームが収集した情報を「Reading privileged memory with a side-channel」という記事にまとめて3日にブログで公開した。というのが今回の経緯になっています。

Just a moment...

newsroom.intel.com

参考サイト：
・Intel、プロセッサ脆弱性はAMDやARMにもあり、対策で協力中と説明｜ITMedia NEWS
・Intel、AMD、ARMなどのCPUに深刻な脆弱性、影響を巡る報道で混乱広がる｜マイナビニュース
・Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘｜Gigazine

CPUの深刻な脆弱性「Meltdown」と「Spectre」への対処方法は？

では我々ユーザーは今回発覚したCPUの脆弱性である「Meltdown」と「Spectre」へどのように対処すればよいのでしょうか？

現時点では「提供される各社のアップデートを速やかに適用する」という方法しかありません。すでにGoogleやMicrosoftは対策済み、もしくは近日中に対応したアップデートを配信予定となっていますし、AppleもすでにmacOS10.13.2で一部対処済みとの事。

Apple has already partially implemented fix in macOS for 'KPTI' Intel CPU security flaw | AppleInsider

After a public disclosure of a security flaw with nearly every Intel processor produced for the last 15 years, concern g...

appleinsider.com

しかしここで問題になるのが、パッチを適用するとCPUの動作が遅くなる可能性があるという点。一般的に個人レベルのPCではほとんど影響はないと言われていますが、古いCPUでは極端に動作が遅くなる可能性もあるそうです。

また、Linuxではすでに「Meltdown」回避のためのパッチが配信されており、これを適用することで5％～30％の性能ダウン、もしくは20％～30％ダウンという報道もあります。逆にAMD製CPUは投機的実行における推測的なメモリの参照が許可されていないため、「Meltdown」の影響は受けず、パッチを適用すべきでないとAMD技術者のTom Lendacky氏が注意喚起を行っているそうです。

詳細な内容はGigazineさんの記事が詳しいので、ぜひご一読を。

Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘

Intelプロセッサの設計上の欠陥によって機密情報が盗み出される可能性があり、対策ソフトウェアでのアップデートが必要でパフォーマンスのダウンが避けられないと報じられて大きな問題となっています。Intelプロセッサ固有の問題と思われている脆弱...

gigazine.net

いずれにしても、我々ユーザーは、各OSのアップデートが配信されたら、なるべく速やかにアップデートを適用する。というのが現状の対策となるでしょう。

Intel CPUのシステム管理機能に関する脆弱性や、WPA2の脆弱性「KRACK」への対処もお忘れなく！

もう皆さんお忘れかもしれませんが、去年は以下の2点も大きな話題となりました。

まずは2015年以降のIntel CPUのシステム管理機能に関する脆弱性問題。

これはIntel CPUのシステム管理機能「Intel Management Engine」（Intel ME）に遠隔操作可能な深刻な脆弱性があり、これを悪用されると攻撃者がユーザーとOSが検知できないままに任意のコードを読み込み実行させられたり、システムの特権情報にアクセスされてしまうこともあり得るというもの。

脆弱性を突くには通常物理的なアクセスが必要のようですが、一部でリモート攻撃も可能なようで、一般ユーザーは勿論の事、企業では早急な対処が必要です。

脆弱性が存在するのか確認するチェックツールも配布されているので、まだ確認していない方はチェックしておきましょう。

2015年以降のintel CPUに深刻な脆弱性！該当するかどうかの確認ツールのダウンロード方法を紹介しておきます！

少し傍観していたのですが、結構な大事になってきました。なんでも2015年以降のintel CPUのシステム管理機能「Intel Management Engine」（Intel ME）に遠隔操作可能な深刻な脆弱性があり、これを悪用されると攻...

enjoypclife.net

2017.11.24

そしてもう一点。WPA2の脆弱性「KRACK」に関する問題もありました。

こちらは比較的影響が少なそうですが、OSでの対処も行われていますし、Wi-Fiルーターも各社ファームウェアの更新を行って配布していると思います。

使用中のWi-Fiルーターのメーカーホームページを訪れ、ファームウェアのアップデートが配信されているかぜひ確認し、配信済みの場合は速やかに適用しておきましょう。

WPA2の脆弱性「KRACK」への対処パッチ、Microsoftは対応済み、AppleのOSとAndroidは数週間中に提供予定。ルータのファームウェアアップデートも忘れずに。

昨日Wi-Fiの暗号化技術「WPA2」に悪用可能な脆弱性が見つかったことが報じられ、ネット界隈では「場合によってはルーターなどのハードウェア自体を買い替えなければ対処できないのでは？」などと様々な憶測も流れてかなりの大騒ぎとなりました。結果...

enjoypclife.net

2017.10.17

投稿 IntelのCPUに深刻な脆弱性「Meltdown」と「Spectre」が発覚！AMDやARMにも影響の可能性あり！速やかにアップデートの適用を！ は enjoypclife.net に最初に表示されました。